Tutorial: Configure GitHub para fornecimento automático de utilizadoresTutorial: Configure GitHub for automatic user provisioning

O objetivo deste tutorial é mostrar-lhe os passos necessários para realizar no GitHub e Azure AD para fornecer e desfornecer automaticamente contas de utilizadores de Azure AD para GitHub.The objective of this tutorial is to show you the steps you need to perform in GitHub and Azure AD to automatically provision and de-provision user accounts from Azure AD to GitHub.

Pré-requisitosPrerequisites

O cenário delineado neste tutorial pressupõe que já tem os seguintes itens:The scenario outlined in this tutorial assumes that you already have the following items:

  • Um inquilino de diretório Azure AtiveAn Azure Active directory tenant
  • Uma organização GitHub criada na GitHub Enterprise Cloud,que requer o plano de faturação da GitHub EnterpriseA GitHub organization created in GitHub Enterprise Cloud, which requires the GitHub Enterprise billing plan
  • Uma conta de utilizador no GitHub com permissões da Admin para a organizaçãoA user account in GitHub with Admin permissions to the organization
  • Certifique-se de que o acesso da OAuth foi fornecido para a sua organização, conforme descrito aquiEnsure that OAuth access has been provided for your organization as described here

Nota

A integração de provisionamento de AD Azure baseia-se na API GitHub SCIM,que está disponível para os clientes gitHub Enterprise Cloud no plano de faturação da GitHub Enterprise.The Azure AD provisioning integration relies on the GitHub SCIM API, which is available to GitHub Enterprise Cloud customers on the GitHub Enterprise billing plan.

Atribuir utilizadores ao GitHubAssigning users to GitHub

O Azure Ative Directory utiliza um conceito chamado "atribuições" para determinar quais os utilizadores que devem ter acesso a aplicações selecionadas.Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. No contexto do fornecimento automático de conta de utilizador, apenas os utilizadores e grupos que foram "atribuídos" a uma aplicação em Azure AD são sincronizados.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD is synchronized.

Antes de configurar e ativar o serviço de provisionamento, tem de decidir quais os utilizadores e/ou grupos em Azure AD que representam os utilizadores que precisam de acesso à sua aplicação GitHub.Before configuring and enabling the provisioning service, you need to decide what users and/or groups in Azure AD represent the users who need access to your GitHub app. Uma vez decidido, pode atribuir estes utilizadores à sua aplicação GitHub seguindo as instruções aqui:Once decided, you can assign these users to your GitHub app by following the instructions here:

Atribuir um utilizador ou grupo a uma aplicação empresarialAssign a user or group to an enterprise app

Dicas importantes para atribuir utilizadores ao GitHubImportant tips for assigning users to GitHub

  • Recomenda-se que um único utilizador da AD Azure seja atribuído ao GitHub para testar a configuração de provisionamento.It is recommended that a single Azure AD user is assigned to GitHub to test the provisioning configuration. Posteriormente, os utilizadores e/ou grupos adicionais podem ser atribuídos.Additional users and/or groups may be assigned later.

  • Ao atribuir um utilizador ao GitHub, deve selecionar a função Utilizador ou outra função específica de aplicação válida (se disponível) no diálogo de atribuição.When assigning a user to GitHub, you must select either the User role, or another valid application-specific role (if available) in the assignment dialog. A função De Acesso Predefinido não funciona para o provisionamento, e estes utilizadores são ignorados.The Default Access role does not work for provisioning, and these users are skipped.

Configurar o fornecimento de utilizadores ao GitHubConfiguring user provisioning to GitHub

Esta secção guia-o através da ligação do seu Azure AD à conta de utilizador do GitHub que aprovisiona a API, e configurando o serviço de provisionamento para criar, atualizar e desativar as contas de utilizador atribuídas no GitHub com base na atribuição de utilizador e grupo em Azure AD.This section guides you through connecting your Azure AD to GitHub's user account provisioning API, and configuring the provisioning service to create, update, and disable assigned user accounts in GitHub based on user and group assignment in Azure AD.

Dica

Também pode optar por ativar o Single Sign-On baseado em SAML para o GitHub, seguindo as instruções fornecidas no portal Azure.You may also choose to enabled SAML-based Single Sign-On for GitHub, following the instructions provided in Azure portal. O único sinal de inscrição pode ser configurado independentemente do fornecimento automático, embora estas duas funcionalidades se elogiem mutuamente.Single sign-on can be configured independently of automatic provisioning, though these two features compliment each other.

Configure o fornecimento automático de conta de utilizador ao GitHub em Azure ADConfigure automatic user account provisioning to GitHub in Azure AD

  1. No portal Azure,navegue até ao Azure Ative Directory > Enterprise Apps > todas as aplicações.In the Azure portal, browse to the Azure Active Directory > Enterprise Apps > All applications section.

  2. Se já configurou o GitHub para uma única inscrição, procure a sua instância de GitHub utilizando o campo de pesquisa.If you have already configured GitHub for single sign-on, search for your instance of GitHub using the search field. Caso contrário, selecione Adicionar e procurar gitHub na galeria de aplicações.Otherwise, select Add and search for GitHub in the application gallery. Selecione GitHub a partir dos resultados da pesquisa e adicione-o à sua lista de aplicações.Select GitHub from the search results, and add it to your list of applications.

  3. Selecione a sua instância de GitHub e, em seguida, selecione o separador Provisioning.Select your instance of GitHub, then select the Provisioning tab.

  4. Detete o modo de provisionamento para automático.Set the Provisioning Mode to Automatic.

    Fornecimento GitHub

  5. Na secção credenciais de administrador, clique em Autorizar.Under the Admin Credentials section, click Authorize. Esta operação abre um diálogo de autorização GitHub numa nova janela do navegador.This operation opens a GitHub authorization dialog in a new browser window. Note que precisa de garantir que está aprovado para autorizar o acesso.Note that you need to ensure you are approved to authorize access. Siga as instruções aquidescritas.Follow the directions described here.

  6. Na nova janela, inscreva-se no GitHub usando a sua conta De administrador.In the new window, sign into GitHub using your Admin account. No diálogo de autorização resultante, selecione a equipa GitHub que pretende ativar o provisionamento e, em seguida, selecione Autorizar.In the resulting authorization dialog, select the GitHub team that you want to enable provisioning for, and then select Authorize. Uma vez concluído, volte ao portal Azure para completar a configuração de provisionamento.Once completed, return to the Azure portal to complete the provisioning configuration.

    Diálogo de Autorização

  7. No portal Azure, insere o URL do Inquilino e clique em Test Connection para garantir que o Azure AD pode ligar-se à sua aplicação GitHub.In the Azure portal, input Tenant URL and click Test Connection to ensure Azure AD can connect to your GitHub app. Se a ligação falhar, certifique-se de que a sua conta GitHub tem permissões de administrador e o Tenant URl é introduzido corretamente, então tente novamente o passo "Autorizar" (pode constituir URL de Inquilino por regra: https://api.github.com/scim/v2/organizations/<Organization_name>, pode encontrar as suas organizações sob a sua conta GitHub:Organizações de Definições). > If the connection fails, ensure your GitHub account has Admin permissions and Tenant URl is inputted correctly, then try the "Authorize" step again (you can constitute Tenant URL by rule: https://api.github.com/scim/v2/organizations/<Organization_name>, you can find your organizations under your GitHub account: Settings > Organizations).

    Diálogo de Autorização

  8. Insira o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro no campo de email de notificação e consulte a caixa de verificação "Envie uma notificação de e-mail quando ocorrer uma falha".Enter the email address of a person or group who should receive provisioning error notifications in the Notification Email field, and check the checkbox "Send an email notification when a failure occurs."

  9. Clique em Guardar.Click Save.

  10. Na secção Mapeamentos, selecione Synchronize Azure Ative Directory Users to GitHub.Under the Mappings section, select Synchronize Azure Active Directory Users to GitHub.

  11. Na secção DeMapeamentos de Atributos, reveja os atributos do utilizador que são sincronizados de Azure AD para GitHub.In the Attribute Mappings section, review the user attributes that are synchronized from Azure AD to GitHub. Os atributos selecionados como propriedades Correspondentes são usados para combinar as contas de utilizador no GitHub para operações de atualização.The attributes selected as Matching properties are used to match the user accounts in GitHub for update operations. Selecione o botão Guardar para elegiro qualquer alteração.Select the Save button to commit any changes.

  12. Para ativar o serviço de provisionamento de AD Azure para o GitHub, altere o Estado de Provisionamento para On na secção DefiniçõesTo enable the Azure AD provisioning service for GitHub, change the Provisioning Status to On in the Settings section

  13. Clique em Guardar.Click Save.

Esta operação inicia a sincronização inicial de quaisquer utilizadores e/ou grupos atribuídos ao GitHub na secção Utilizadores e Grupos.This operation starts the initial synchronization of any users and/or groups assigned to GitHub in the Users and Groups section. A sincronização inicial demora mais tempo a realizar do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço esteja em execução.The initial sync takes longer to perform than subsequent syncs, which occur approximately every 40 minutes as long as the service is running. Pode utilizar a secção Detalhes de Sincronização para monitorizar o progresso e seguir ligações aos registos de atividades de provisionamento, que descrevem todas as ações realizadas pelo serviço de provisionamento.You can use the Synchronization Details section to monitor progress and follow links to provisioning activity logs, which describe all actions performed by the provisioning service.

Para obter mais informações sobre como ler os registos de provisionamento da AD Azure, consulte relatórios sobre o fornecimento automáticode conta de utilizador .For more information on how to read the Azure AD provisioning logs, see Reporting on automatic user account provisioning.

Recursos adicionaisAdditional resources

Passos seguintesNext steps